Secrutiny levert cybersecurity-blauwdruk voor bestaande omgeving

Abonneer je gratis op Techzine!

Afgelopen november trad Secrutiny toe tot het aanbod van cybersecurityspelers in Nederland. Gesteund door een ‘moederbedrijf’ in de UK dat al een jaar of acht bestaat, wil het vooral realistisch kijken naar wat organisaties kunnen en zouden moeten doen om hun security posture te verbeteren. Wij spraken met de drie oprichters van de Nederlandse tak van het bedrijf.

De basisboodschap van Secrutiny is een zeer realistische, zo geeft Patrick van Arendonk, de Managing Director van het bedrijf aan. Bij Secrutiny realiseert men zich dat organisaties al veel hebben geïnvesteerd in hun omgeving en de security ervan. Vandaar ook dat men in gesprekken met klanten eerst uitgaat van wat aanwezig is.  Het is niet het doel om alles compleet te vernieuwen. Deze boodschap van ‘gebruik wat je al hebt’ landt heel goed in de markt, geeft hij aan. Beter nog dan hij verwachtte toen hij afgelopen november samen met Leon Smit (Technical Director) en Elmer Koevoets (Sales & Marketing Director) met Secrutiny Nederland startte.

Praktische insteek

De voornaamste reden dat de insteek van Secrutiny het goed doet, zelfs boven verwachting, is dat het een praktische is. Vanuit de meeste leveranciers van security-oplossingen hoor je veel boodschappen rondom zaken zoals Zero Trust en SASE. In gesprekken met klanten of potentiële klanten komen ze dit bij Secrutiny eigenlijk niet tegen, geeft Smit aan. De mensen met wie zij spreken, willen vooral weten hoe het nu echt gesteld is met hun cybersecurity posture, en of er dus bedrijfsrisico’s bestaan in relatie tot cybersecurity, waar ze eerder geen weet van hadden. Daarnaast willen ze weten wat ze nodig hebben in de praktijk om de cybersecurity ‘volwassenheid’ van de organisatie te verbeteren.

Met andere woorden, de organisaties waar Secrutiny mee spreekt (in mid-market en small enterprise) zoeken vooral een partij die vooraf een blauwdruk kan maken van hun omgeving. Smit vergelijkt het met de manier waarop de brandweer opereert. Indien er een brand uitbreekt in een gebouw en de brandweer moet komen blussen, dan is het van het grootste belang dat de brandweer op voorhand de nodige informatie heeft. Men moet weten hoe het gebouw in elkaar steekt, waar de ruimtes zijn met gevaarlijke stoffen, waar de gasleidingen lopen en hoe de vluchtroutes georganiseerd zijn, om enkele zaken te noemen.

Het afhandelen van een cybersecurity-incident verloopt feitelijk niet veel anders. Zonder tastbare forensische informatie vooraf, kan het in het geval van bijvoorbeeld een ransomware-aanval dagen, zo niet weken duren voordat alle benodigde informatie beschikbaar is om een goede forensische cybersecurity-analyse uit te kunnen voeren. Het is dus extreem belangrijk dat je deze informatie vooraf hebt.

Data waar je iets mee kunt

Onderdeel van een praktische insteek is uiteraard niet alleen maar dat je uitgaat van wat je al hebt. Secrutiny moet ook daadwerkelijk iets kunnen leveren waar organisaties praktisch mee aan de slag kunnen. Daarvoor biedt het bedrijf de CRA aan, oftewel de Cyber Risk Assessment. Je kunt de CRA zien als het startpunt. Hiermee analyseert Secrutiny alle endpoints in een organisatie, eventueel aangevuld met een Microsoft 365 scan (verderop meer hierover). Het resultaat van deze analyse is een goed inzicht in de security posture van een bedrijf. Daarnaast geeft Secrutiny ook concrete adviezen om deze te verbeteren.

Het idee is dat een CRA een snapshot geeft van alle lagen van bovenstaande piramide.

Op dit moment denk je wellicht dat dit niet heel erg spannend is, want dit soort assessments bieden zoveel partijen aan in de markt. Die van Secrutiny is echter wezenlijk anders, stellen de heren. Waar veel andere onderzoeken naar cyber maturity vooral vragenlijsten zijn, waarin je bijvoorbeeld de vraag krijgt of je MFA hebt geïmplementeerd, of wel of geen firewall hebt staan, gaat dat van Secrutiny verder. Het onderscheidende onderdeel van de CRA van Secrutiny is dat het een scan doet die automatisch een snapshot produceert van alle endpoints in je organisatie. Secrutiny analyseert deze data en analisten verrijken het nog verder. De uitkomst is een concrete, praktische set aan adviezen om zaken te verbeteren. Na enige tijd draai je dan nog een CRA om te kijken of er progressie is geboekt.

Er komen dus daadwerkelijk specialisten aan te pas om de analyses te doen. Dat is een belangrijke component, omdat dit het eindproduct beduidend beter en bruikbaarder maakt, is de visie van Secrutiny. Hier heeft de Nederlandse tak van het bedrijf baat bij het feit dat het moederbedrijf al ruim 8 jaar bestaat en de CRA al op meer dan 750.000 endpoints gedraaid heeft. De experts daar doen de analyses. Let wel, 80 procent van de analyses vindt geautomatiseerd plaats. De experts bemoeien zich met de overige 20 procent. Deze forensics maakt het verschil en spreekt ook klanten aan.

Microsoft 365 Assessment

Naast de CRA is er ook nog de Microsoft 365 Assessment. Dat is min of meer hetzelfde als de CRA, maar dan uitsluitend gericht op de Microsoft 365-omgeving. Ook deze assessment draait goed, zo vertelt Van Arendonk. Volgens Smit is dat niet zo gek, want de M365-scan van Secrutiny is uniek in de markt, stelt hij. Hij geeft inzicht in de security posture van organisaties specifiek op dit gebied en gaat zowel de breedte als de diepte in. Hij scant dus niet alleen specifieke instellingen, maar pakt ook alles mee wat onder de M365-vlag valt: Exchange Online, Azure AD, SharePoint, Intune, Teams, hij pakt het allemaal mee.

Standaard biedt Microsoft uiteraard al de nodige security binnen de 365-omgeving, maar verschillende organisaties hebben verschillende wensen en eisen op dit vlak. Dat kan bijvoorbeeld betekenen dat een bepaalde instelling niet op de default kan blijven staan. Met de scan van de Microsoft 365 Assessment haal je dit soort zaken er meteen uit en kun je ze aanpassen aan je eigen situatie en omgeving.

Stap-voor-stap en inzichtelijk

Het aanbod van Secrutiny zelf valt dus goed in de markt. Secrutiny heeft de eerste CRA’s al uitgevoerd en er is zelfs al een eerste Incident Response casus afgehandeld. Een belangrijke reden voor het succes van de CRA is zoals hierboven al aangegeven dat hij duidelijke uitkomsten levert. Daar kunnen organisaties echt mee aan de slag. Daarnaast levert de CRA ook een snapshot van je volledige omgeving, benadrukt Smit. Secrutiny gebruikt hiervoor de pyramide zoals je die hieronder kunt zien. Waar je met een dedicated tool doorgaans maar een laag tegelijkertijd kunt analyseren, levert de CRA een gedetailleerd  beeld en dus risicoprofiel op van alle lagen. Dat zorgt voor een beter overzicht en dus ook meer inzicht.

Naast de prestaties van de producten CRA en Microsoft 365 Assessment op zich, is er echter nog een reden waarom de heren denken dat hun aanbod goed aanslaat in de markt. De werkwijze is namelijk transparant en flexibel, zo geeft Koevoets aan. Hiermee doelt hij op de stapsgewijze benadering, waar Secrutiny samen met klanten vooraf doorheen gaat. Aanpassen aan het maximale tempo van organisaties is het doel van deze benadering. Klanten waarderen deze werkwijze enorm, geeft hij aan. Het is in gesprekken met potentiële klanten vrijwel altijd de slide in de presentatie die de meeste indruk maakt.

Hygiene workbook en meer

Het is al met al duidelijk wat Secrutiny wil bieden aan klanten met zaken zoals het CRA en de Microsoft 365 Assessment: adviezen waar organisaties meteen iets mee kunnen. Uiteraard is het de wens vanuit Secrutiny dat organisaties een subscription nemen op deze assessments, die dan ieder kwartaal afgenomen worden en feitelijk een continue audit biedt op de technische cybersecurity volwassenheid. Je kunt echter ook eerst een enkel assessment afnemen. Hiermee krijg je binnen 28 dagen de resultaten, zoals je dat ook zou krijgen als je een abonnement afsluit. Het doel is om op basis van de concrete adviezen na verloop van tijd te kijken of een organisatie haar security beter op orde heeft. Een tweede assessment zou dus eigenlijk altijd een no-brainer moeten zijn. Of alles moet op ‘groen’ staan natuurlijk, maar dat lijkt ons geen enorm realistisch scenario.

Secrutiny beperkt zich echter zeker niet tot het CRA en de Microsoft 365-variant ervan. Zoals eerder aangegeven kun je ook terecht voor Incident Response. Sterker nog, er is ook daadwerkelijk vraag naar. Bij de start van Secrutiny Nederland in november 2020, hadden de drie heren niet echt veel verwachtingen rondom IR. Ze waren immers nog maar met drie mensen en voor IR heb je behoorlijk wat mensen nodig. Maar ook IR kun je tegenwoordig vrijwel volledig remote doen, geeft Van Arendonk aan. En in de UK heeft Secrutiny een 24×7 IR team van 60+ specialisten zitten die dit uitstekend kunnen. Wat dat betreft betreedt Secrutiny Nederland de markt natuurlijk niet als een start-up. Er zit een solide moederbedrijf achter dat zich al ruimschoots bewezen heeft. Dit zal er ongetwijfeld voor zorgen dat de Nederlandse tak zijn plek gaat vinden in de markt.

Het eerste halfjaar is in ieder geval veelbelovend. Er is recent zelfs al iemand toegevoegd aan het personeelsbestand. De seinen staan dus op groen. We gaan in de gaten houden of dit zo blijft en zijn benieuwd waar Secrutiny Nederland over een halfjaar staat.